带你读《阿里云产品六月刊》——五、ACK 集群适配和发布 Kubernetes 1.30 版本

阿里云容器服务 Kubernetes 版严格遵循社区一致性认证。本文介绍ACK发布Kubernetes 1.30版本的主要变更说明，包括升级注意事项、重大变更、功能特性、弃用功能和API、特性门控等。

组件版本说明

下表为ACK集群核心组件版本的支持情况。

 

升级注意事项

 

功能特性

在Kubernetes 1.29版本

 

∙ PreStop Hook新增一种休眠（Sleep）模式，允许在容器实际被终止前暂停一段指定的时间，以等待尚未完成的处理或者网络请求。更多信息，请参见KEP-3960: Introducing Sleep Action for PreStop Hook。

∙ SidecarContainers进入Beta，默认启用。此功能允许将init容器的restartPolicy设置为Always，使之成为一个Sidecar容器，支持独立启动、停止或重启，且不会影响主应用容器和其他Init容器。更多信息，请参见Sidecar Containers。

∙ 新增ServiceCIDR资源类型，允许动态配置集群中Service ClusterIP地址的分配范围。该特性处于Alpha阶段，默认禁用。关于允许动态扩展Service可用IP数量的更多信息，请参见KEP-1880: Multiple Service CIDRs。

∙

∙ PVC (Persistent Volume Claim) 和Container的API使用相同的ResourceRequirements结构体来定义资源requests和limits。这导致当Container的resources结构发生变化时，例如新增了claims字段，会导致PVC的API也随之改变。因此，PVC改用独立的VolumeResourceRequirements结构体，其中仅包含requests和limits，不包含claims。更多信息，请参见Volume resource requirements。

∙ PodReadyToStartContainers特性进入Beta，默认启用。此特性表示Pod的沙盒（Sandbox）环境已经成功创建（容器运行时环境已就绪），且网络配置已完成，便于kubelet了解Pod状态。更多信息，请参见Pod conditions。

∙ PodAffinity和PodAntiAffinity新增支持matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。配置PodAffinity的matchLabelKeys时，Deployment会为ReplicaSet添加pod-template-hash标签，让Deployment的每个Pod都带有相应的哈希字符串，来告知调度器仅对带有相同pod-template-hash值的Pod进行评估，便于区分同一批次更新的Pod。更多信息，请参见KEP-3633。

∙ 除核心Kubernetes API资源外，ValidatingAdmissionPolicy类型检查新增支持CRD和API Extension类型，有助于确保策略的可靠性和集群配置的正确性。更多信息，请参见type-checking。

∙ 新增UserNamespacesPodSecurityStandards特性门控，支持将用户命名空间（User Namespace）集成到Pod安全标准中。当此特性门控开启时，支持在Pod的安全上下文中以非root用户或指定用户身份运行容器。该特性门控当前为Alpha阶段，默认为false，未来可能会一直处于false状态。更多信息，请参见KEP-127: Update PSS based on feature gate。

∙ 针对节点对象，新增DisableNodeKubeProxyVersion特性门控，弃用status.nodeInfo.kubeProxyVersion字段，即在Kubernetes中禁用设置Node端的kubeProxyVersion字段。kubelet并不一定能够准确识别kube-proxy的版本，该字段不一定准确。此特性门控当前为Alpha阶段，默认为false。

∙ JobBackoffLimitPerIndex特性门控进入Beta，默认为true。此特性门控允许在索引作业（Indexed Job）中指定每个索引（Index）的最大重试次数。关于索引作业的更多信息，请参见使用索引作业完成静态工作分配下的并行处理。

 

在Kubernetes 1.30版本

 

∙ ImageMaximumGCAge允许kubelet配置对未使用镜像被垃圾回收前的最大存活时间，即在达到指定时间后若镜像仍然未被使用，那么镜像将可被垃圾收集机制清理。默认值为"0s"，即不设置时间限制。该特性门控在v1.29进入Alpha，v1.30进阶至Beta。

∙ kubelet新增监控指标image_pull_duration_seconds，用于跟踪镜像拉取时间。更多信息，请参见Alpha阶段的Kubernetes指标清单。

∙ LegacyServiceAccountTokenCleanUp特性门控进阶至GA，默认启用。如果ServiceAccount关联的自动生成的Secret在特定时间内（默认为一年）未被使用，且没有被任何Pod挂载，kube-controller-manager将向Secret添加kubernetes.io/legacy-token-invalid-since标签，值为当前日期，标记Secret为无效。如果Secret自标记为无效开始，在特定时间（默认为一年）依旧未被使用，将会被kube-controller-manager自动清理。对于被打上失效标签但未被自动移除的Secret，可以通过移除kubernetes.io/legacy-token-invalid-since标签使其重新生效。更多信息，请参见Auto-generated legacy ServiceAccount token clean up和Legacy ServiceAccount token cleaner。

∙ 在v1.30中，在kube-proxy的--nodeport-addresses未设置的情况下（默认未设置），NodePort类型的Service更新将仅更新节点的主要IP（Primary Node IP），而非节点的所有IP。更多信息，请参见#122724。

∙ 为了防止配置冲突和安全问题，OIDC Issuer URL不允许和API Server ServiceAccount Issuer URL配置相同的参数。更多信息，请参见#123561。

∙

∙

∙ LoadBalancerIPMode特性门控允许为类型为LoadBalancer的Service新增.status.loadBalancer.ingress.ipMode字段，用于指定负载均衡器IP的转发行为。该字段仅在指定了.status.loadBalancer.ingress.ip字段时才能被指定。LoadBalancerIPMode特性门控进入Beta。更多信息，请参见Specifying IPMode of load balancer status和Load Balancer IP Mode for Services。

∙ 基于ContainerResource指标的Pod水平自动扩缩容（HorizontalPodAutoscaler，HPA）在v1.30中升级为Stable。这一新行为允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩，而不仅是Pod的整体资源使用情况，便于为在Pod中最重要的容器配置扩缩容阈值。更多信息，请参见Container resource metrics。

∙ AdmissionWebhookMatchConditions特性门控进阶至GA，默认启用，不可禁用。此特性门控允许对准入Webhook支持根据特定的条件进行匹配，更细粒度地控制Webhook的触发条件。更多信息，请参见Dynamic Admission Control。

∙ 新增JobSuccessPolicy特性门控，允许基于一组成功的Pod来声明这组Pod所属的Job已经成功完成。成功策略中可以指定某些索引（例如索引Pod x、y、z），或索引数量（例如一组索引中的3个Pod），来声明Job是否成功完成。该特性门控处于Alpha阶段。更多信息，请参见Job success/completion policy。

∙ 新增RelaxedEnvironmentVariableValidation特性门控，允许在环境变量中使用绝大部分可打印的ASCII字符（范围为32至126的所有字符，除=外）。该特性门控处于Alpha阶段，默认禁用。更多信息，请参见#123385。

∙ 新增CustomResourceFieldSelectors特性门控，支持对CRD配置selectableFields，以便使用Field Selectors过滤List、Watch和DeleteCollection请求，更便于定位或管理符合特定条件的CRD资源。该特性门控处于Alpha阶段，默认禁用。更多信息，请参见Custom Resource Field Selectors。

∙ CRDValidationRatcheting特性门控带来了更新：当CRD添加新的验证时，即使因此导致存量资源在更新后无效，但只要未通过验证的部分并没有更新，API Server便不会拦截资源的更新，不影响现有的资源和用户。这有助于将CRD迁移使用OpenAPI v3 schemas时进行合法性检查，安全地更新新的验证规则。此特性门控进入Beta，默认启用。更多信息，请参见CRD Validation ratcheting。

∙ Downward API使用status.hostIPs字段支持双协议栈，即同时支持IPv4和IPv6。status.hostIPs的列表中的第一个IP地址始终与status.hostIP相同。更多信息，请参见Downward API。

∙ NodeLogQuery特性门控允许使用/logs端点查询节点服务的日志。该特性门控进阶至Beta，默认为false。更多信息，请参见日志查询。

 

弃用功能

在Kubernetes 1.29版本

 

∙ CronJob不支持在.spec.schedule配置CRON_TZ或者TZ，使用.spec.timeZone字段代替（该字段自v1.25可用）。更多信息，请参见CronJob的限制。

∙ 移除尚处于Alpha阶段且有争议的networking/v1alpha1 API ClusterCIDR。更多信息，请参见Cluster CIDR V1alpha1。

 

在Kubernetes 1.30版本

 

∙ kubectl apply命令移除--prune-whitelist参数，建议使用--prune-allowlist代替。更多信息，请参见--prune。

∙ 准入插件SecurityContextDeny自v1.27开始弃用，在v1.30从代码中移除。建议使用PodSecurity准入插件代替，该插件自v1.25版本进入Stable，默认启用。更多信息，请参见PodSecurity。

 

弃用API

flowcontrol.apiserver.k8s.io/v1beta2 API版本的FlowSchema和PriorityLevelConfiguration在v1.29被废弃。建议使用flowcontrol.apiserver.k8s.io/v1 API版本（自v1.29开始可用），或 flowcontrol.apiserver.k8s.io/v1beta3 API版本（自v1.26起可用）。

 

∙ flowcontrol.apiserver.k8s.io/v1中的显著变更包括：

PriorityLevelConfiguration的spec.limited.assuredConcurrencyShares字段已被重命名为 spec.limited.nominalConcurrencyShares，仅在未指定时默认为30，并且显式值0不会更改为30。

 

∙ flowcontrol.apiserver.k8s.io/v1beta3中的显著变更包括：

PriorityLevelConfiguration的spec.limited.assuredConcurrencyShares字段已被更名为 spec.limited.nominalConcurrencyShares。

 

特性门控

关于Kubernetes支持的特性门控及特性门控的版本支持情况、功能介绍等，请参见Feature Gates。

 

特性门控一般有三个阶段：

 

∙ Alpha阶段：默认禁用。

∙ Beta阶段：通常默认启用。

∙ GA阶段：一直默认启用，且不能禁用，不再需要相应的特性门控。

 

参考链接

关于Kubernetes 1.29和1.30完整的变更记录，请参见CHANGELOG-1.29、CHANGELOG-1.30。